FireEye 遭到國家支持的駭客入侵　紅隊測試工具遭竊

知名資安軟體業者 FireEye 昨日公告遭駭，種種跡象顯示作案的是由國家支持的駭客組織。

攻擊者成功竊走 FireEye 用來測試客戶環境安全及模仿駭客使用的工具的紅隊評估工具 (Red Team assessment tool)，並試著尋找政府客戶的相關資料。

FireEye 執行長暨董事長 Kevin Mandia 本周在對證管會提交的文件指出，該公司近日遭到一個手法高超的組織攻擊，根據該組織展現的紀律、作業安全的了解，以及使用的手法研判，他們相信這是一樁國家支持的駭客攻擊。

Mandia 指出，「以我 25 年的資安及事件回應經驗判斷，我相信我們目睹了一個以最頂尖侵犯能力的國家發動的攻擊。」

攻擊者似乎是瞄準 FireEye 的資產，並使用高超的技巧躲過該公司的鑑識檢證及偵測惡意活動的安全工具。

目前 FireEye 已和聯邦調查局及第三方安全商如微軟合作調查此事。

初步分析顯示，攻擊者目標是 FireEye 的特定紅隊評估工具，而且也成功存取。被竊的工具包含「用於自動化偵察的簡單 script，到類似公開工具如 CobaltStrike 及 Metasploit 的整個框架」，但 Mandia 表示這套工具不包含零時差攻擊程式。

但其中許多其實已在安全社群間或透過 FireEye 的 CommandoVM 的開放原始碼 VM 中流傳在外。

FireEye 表示，由於事發後 FireEye 已經採取措施，防止工具被濫用，因此他們目前沒有發現被竊的紅隊評估工具被拿來攻擊。該公司也採取措施以防未來攻擊，包括準備好可偵測或防堵該紅隊評估工具，並將這些措施實作在其安全產品中。他們已將這些分享給安全業界以便用於更新他們的產品，也會持續分享該套工具的防禦資訊。

目前 FireEye 已將這些資源，包括偵測惡意程式的 Snort、Yara rule、威脅入侵指標 (IoC) 等公佈在 GitHub 平台上，供安全專家取用。

另外，FireEye 也發現，攻擊者也試圖蒐集政府客戶資訊，並成功存取部份 FireEye 內部系統。但是截至目前為止還沒有發現主要系統儲存的事件回應或顧問服務的客戶資料，以及動態威脅情報系統產品蒐集而來的 metadata 則沒有外洩情形。

FireEye 創立於 2004 年，總部位於加州，員工有 3,200 多名，客戶超過 8,500 多家，遍佈 103 國。